WMIC使用.docx
- 文档编号:23643702
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:17
- 大小:27.81KB
WMIC使用.docx
《WMIC使用.docx》由会员分享,可在线阅读,更多相关《WMIC使用.docx(17页珍藏版)》请在冰豆网上搜索。
WMIC使用
WINDOWS利器-WMIC使用
从Windows2000开始,WMI(Windows管理规范)就是Windows系统管理的重要组成部分。
WMIC是WindowsManagementInstrumentationCommand-line的简称,在WMIC出现之前,要从命令行访问WMI数据库或WMI名称空间不是一件容易的事情,但现在,WMIC利用WMI强大的功能就把系统管理扩展到了命令行。
一、什么是WMIC?
WMIC是扩展WMI(WindowsManagementInstrumentation,Windows管理规范),提供了从命令行接口和批命令脚本执行系统管理的支持。
在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,比如SMS,或者使用WMI的脚本编程API,或者使用象CIMStudio之类的工具。
如果不熟悉C++之类的编程语言或VBScript之类的脚本语言,或者不掌握WMI名称空间的基本知识,要使用WMI管理系统是很困难的。
WMIC改变了这种情况,为WMI名称空间提供了一个强大的、友好的命令行接口。
本文将主要介绍我在使用过程中的一些经验,本着实用主义的原则,过多的概念性的东西我就不多介绍了,在用到的时候我再进行一些解释。
和上面的官方定义比起来,还有一个更好理解的解释:
WMIC,是一款命令行管理工具。
使用WMIC,我们不但可以管理本地计算机,而且还可以管理同一Windows域内的所有远程计算机(需要必要的权限),而被管理的远程计算机不必事先安装WMIC,只需要支持WMI即可。
WMIC有一个能够分析、解释和执行从命令行接收的别名(Alias)的引擎,它是一个可执行文件,名为WMIC.exe,这个文件通常位于“c:
\windows\system32\wbem”文件夹中(支持WinXP和Win2003系统)。
这样就比较好理解了吧,可以使用WMI管理远程计算机,是不是非常有吸引力呀!
二、WMIC能做什么?
可以使用WMIC实现如下的管理任务:
1、本地计算机管理
2、远程单个计算机管理
3、远程多个计算机管理
4、使用远程会话的计算机管理(如Telnet)
5、使用管理脚本的自动管理
三、简单的使用实例
1、运行WMIC
打开“开始”-“运行”栏,输入“WMIC”就可以启动wmic了,如图1。
第一次运行时,会显示WMIC正在安装,请稍等。
几秒钟后就会出现如图2所示的命令提示符了。
2、初试WMIC下的命令
在窗口下输入●process●执行看看,结果如图3所示,列出了正在运行的进程和调用进程的路径。
当然了,我们也可以输入●processlistbrief●来查看更详细的信息,比如进程名称、ID、优先级等。
更重要的是,对于现在有些可以在任务管理器里隐藏进程的木马,要想在wmic里隐藏,可就没那么容易了,它会成为你查杀木马的好帮手。
现在只是知道了路径,如果怀疑某一进程,想查看它的详细信息又该怎么办呢?
用wimic后面直接跟命令运行,如wmicprocess就显示了所有的进程了。
这两种运行方法就是:
交互模式(Interactivemode)和非交互模式(Non-Interactivemode)
下面我们能过一些实例来说明用法:
=====================================================================
显示进程的详细信息
输入processwherename="maxthon.exe"listfull
将显示出mxathon.exe进程所有的信息如下
******************************************************************************
停止、暂停和运行服务功能
启动服务startservice,
停止服务stopservice,
暂停服务pauseservice
Servicewhere caption="windowstime"callstopservice------停止服务
Servicewherecaption="windowstime"callstartservice------启动服务
Servicewhere name="w32time"callstopservice ------停止服务,注意name和caption的区别。
caption显示服务名name服务名称,如:
telnet服务的显示名称是telnet服务名称是tlntsvr,还有PrintSpooler服务的名称是spooler 显示名称是"PrintSpooler"要用引号引起来,主要是有一个空格。
好了具体看一下:
输入Servicewherecaption="Themes"callstopservice后有一个确认输入y就可以了,返回ReturnValue=0;表示成功
wmic:
root\cli>Servicewherecaption="Themes"callstopservice
执行(\\Admin\ROOT\CIMV2:
Win32_Service.Name="Themes")->stopservice()吗(Y/N/?
)?
y
方法执行成功。
输出参数:
instanceof__PARAMETERS
{
ReturnValue=0;
};
wmic:
root\cli>
通过上面的命令停止;成功停止了系统主题服务。
●wmicprocesscallcreateshutdown.exe●--关闭本地计算机。
想要知道更多的命令,直接在命令行下输入“/?
”,就可以获得详细的帮助信息了
=============================================================================
在wmic下如何查看BIOS信息呢?
我们输入●bioslistfull●,是使用的命令吧,不用重启电脑就可以知道你现在使用的电脑的BIOS信息了,
大家可能注意到了上面命令行中还有两个参数list和full。
list决定显示的信息格式与范围,它有Brief、Full、Instance、Status、System、Writeable等多个参数,full只是它的一个参数,也是list的缺省参数,表示显示所有的信息。
其他几个参数顾名思义,如Brief表示只显示摘要信息,Instance表示只显示对象实例,Status表示显示对象状态,Writeable表示只显示该对象的可写入的属性信息等。
wmic:
root\cli>bioslistfull
BiosCharacteristics={4,7,9,10,11,12,14,15,16,17,19,22,23,24,25,26,27,28,29
BuildNumber=
CodeSet=
CurrentLanguage=n|US|iso8859-1
Description=Phoenix-AwardBIOSv6.00PG
IdentificationCode=
InstallableLanguages=3
InstallDate=
LanguageEdition=
ListOfLanguages={"n|US|iso8859-1","n|US|iso8859-1","r|CA|iso8859-1"}
Manufacturer=PhoenixTechnologies,LTD
Name=Phoenix-AwardBIOSv6.00PG
OtherTargetOS=
PrimaryBIOS=TRUE
ReleaseDate=20060404000000.000000+000
SerialNumber=123456789000
SMBIOSBIOSVersion=P5PL-TML-915PACPIBIOSRevision0202
SMBIOSMajorVersion=2
SMBIOSMinorVersion=2
SMBIOSPresent=TRUE
SoftwareElementID=Phoenix-AwardBIOSv6.00PG
SoftwareElementState=3
Status=OK
TargetOperatingSystem=0
Version=IntelR-42302e31
************************************************************************=====================
停止进程的操作
例如,执行下面的命令将关闭正在运行的QQ.exe:
例1、wmicprocesswherename='QQ.exe'callterminate
命令运行结束后,WMIC命令行提示出如下结果:
C:
\>wmicprocesswherename='QQ.exe'callterminate
执行(\\admin\ROOT\CIMV2:
Win32_Process.Handle="728")->terminate()
方法执行成功。
输出参数:
instanceof__PARAMETERS
{
ReturnValue=0;
};
例2、wmicprocesswherename="qq.exe"delete
命令运行结束后,WMIC命令行提示出如下结果:
C:
\>wmicprocesswherename="qq.exe"delete
删除范例 \\CHINA-46B1E8590\ROOT\CIMV2:
Win32_Process.Handle="2820"
范例删除成功。
以下为远程操作电脑没有亲自试验方法大同小异
======================================================================
★★连接远程的电脑,不过好象对要开一些相应的服务
wmic/node:
"192.168.203.131"/password:
""/user:
"administrator"
BIOS-基本输入/输出服务(BIOS)管理
★★查看bios版本型号
wmicbiosgetManufacturer,Name
WMIC设置IP地址
★★配置或更新IP地址:
wmicnicconfigwhereindex=0callenablestatic("192.168.1.5"),("255.255.255.0");index=0说明是配置网络接口1。
配置网关(默认路由):
wmicnicconfigwhereindex=0callsetgateways("192.168.1.1"),
(1)
COMPUTERSYSTEM-计算机系统管理
★★查看系统启动选项,boot的内容
wmicCOMPUTERSYSTEMgetSystemStartupOptions
★★查看工作组/域
wmiccomputersystemgetdomain
★★更改计算机名abc为123
wmiccomputersystemwhere"name='abc'"callrename123
★★更改工作组google为MyGroup
wmiccomputersystemwhere"name='google'"calljoindomainorworkgroup"","","MyGroup",1
CPU-CPU管理
★★查看cpu型号
wmiccpugetname
DATAFILE-DataFile管理
★★查找e盘下test目录(不包括子目录)下的cc.cmd文件
wmicdatafilewhere"drive='e:
'andpath='\\test\\'andFileName='cc'andExtension='cmd'"list
★★查找e盘下所有目录和子目录下的cc.cmd文件,且文件大小大于1K
wmicdatafilewhere"drive='e:
'andFileName='cc'andExtension='cmd'andFileSize>'1000'"list
★★删除e盘下文件大小大于10M的.cmd文件
wmicdatafilewhere"drive='e:
'andExtension='cmd'andFileSize>'10000000'"calldelete
★★删除e盘下test目录(不包括子目录)下的非.cmd文件
wmicdatafilewhere"drive='e:
'andExtension<>'cmd'andpath='test'"calldelete
★★复制e盘下test目录(不包括子目录)下的cc.cmd文件到e:
\,并改名为aa.bat
wmicdatafilewhere"drive='e:
'andpath='\\test\\'andFileName='cc'andExtension='cmd'"callcopy"e:
\aa.bat"
★★改名c:
\hello.txt为c:
\test.txt
wmicdatafile"c:
\\hello.txt"callrenamec:
\test.txt
★★查找h盘下目录含有test,文件名含有perl,后缀为txt的文件
wmicdatafilewhere"drive='h:
'andextension='txt'andpathlike'%\\test\\%'andfilenamelike'%perl%'"getname
DESKTOPMONITOR-监视器管理
★★获取屏幕分辨率
wmicDESKTOPMONITORwhereStatus='ok'getScreenHeight,ScreenWidth
DISKDRIVE-物理磁盘驱动器管理
★★获取物理磁盘型号大小等
wmicDISKDRIVEgetCaption,size,InterfaceType
ENVIRONMENT-系统环境设置管理
★★获取temp环境变量
wmicENVIRONMENTwhere"name='temp'"getUserName,VariableValue
★★更改path环境变量值,新增e:
\tools
wmicENVIRONMENTwhere"name='path'andusername='
\tools"
★★新增系统环境变量home,值为%HOMEDRIVE%%HOMEPATH%
wmicENVIRONMENTcreatename="home",username="
★★删除home环境变量
wmicENVIRONMENTwhere"name='home'"delete
FSDIR-文件目录系统项目管理
★★查找e盘下名为test的目录
wmicFSDIRwhere"drive='e:
'andfilename='test'"list
★★删除e:
\test目录下除过目录abc的所有目录
wmicFSDIRwhere"drive='e:
'andpath='\\test\\'andfilename<>'abc'"calldelete
★★删除c:
\good文件夹
wmicfsdir"c:
\\good"calldelete
★★重命名c:
\good文件夹为abb
wmicfsdir"c:
\\good"rename"c:
\abb"
LOGICALDISK-本地储存设备管理
★★获取硬盘系统格式、总大小、可用空间等
wmicLOGICALDISKgetname,Description,filesystem,size,freespace
NIC-网络界面控制器(NIC)管理
OS-已安装的操作系统管理
★★设置系统时间
wmicoswhere(primary=1)callsetdatetime20070731144642.555555+480
PAGEFILESET-页面文件设置管理
★★更改当前页面文件初始大小和最大值
wmicPAGEFILESETsetInitialSize="512",MaximumSize="512"
★★页面文件设置到d:
\下,执行下面两条命令
wmicpagefilesetcreatename='d:
\pagefile.sys',initialsize=512,maximumsize=1024
wmicpagefilesetwhere"name='c:
\\pagefile.sys'"delete
PROCESS-进程管理
★★列出进程的核心信息,类似任务管理器
wmicprocesslistbrief
★★结束svchost.exe进程,路径为非C:
\WINDOWS\system32\svchost.exe的
wmicprocesswhere"name='svchost.exe'andExecutablePath<>'C:
\\WINDOWS\\system32\\svchost.exe'"callTerminate
★★新建notepad进程
wmicprocesscallcreatenotepad
PRODUCT-安装包任务管理
★★安装包在C:
\WINDOWS\Installer目录下
★★卸载.msi安装包
wmicPRODUCTwhere"name='Microsoft.NETFramework1.1'andVersion='1.1.4322'"callUninstall
★★修复.msi安装包
wmicPRODUCTwhere"name='Microsoft.NETFramework1.1'andVersion='1.1.4322'"callReinstall
SERVICE-服务程序管理
★★运行spooler服务
wmicSERVICEwherename="Spooler"callstartservice
★★停止spooler服务
wmicSERVICEwherename="Spooler"callstopservice
★★暂停spooler服务
wmicSERVICEwherename="Spooler"callPauseService
★★更改spooler服务启动类型[auto|Disabled|Manual]释[自动|禁用|手动]
wmicSERVICEwherename="Spooler"setStartMode="auto"
★★删除服务
wmicSERVICEwherename="test123"calldelete
SHARE-共享资源管理
★★删除共享
wmicSHAREwherename="e$"calldelete
★★添加共享
WMICSHARECALLCreate"","test","3","TestShareName","","c:
\test",0
SOUNDDEV-声音设备管理
wmicSOUNDDEVlist
STARTUP-用户登录到计算机系统时自动运行命令的管理
★★查看msconfig中的启动选项
wmicSTARTUPlist
SYSDRIVER-基本服务的系统驱动程序管理
wmicSYSDRIVERlist
USERACCOUNT-用户帐户管理
★★更改用户administrator全名为admin
wmicUSERACCOUNTwherename="Administrator"setFullName="admin"
★★更改用户名admin为admin00
wmicuseraccountwhere"name='admin"callRenameadmin00
================================================获取补丁信息
★★查看当前系统打了哪些补丁
/node:
legacyhostqfegethotfixid
查看CPU当前的速度
★★cpu当前的速度
wmiccpugetCurrentClockSpeed
远程计算机的远程桌面连接
★★WMIC命令开启远程计算机的远程桌面连接
执行wmic/node:
192.168.1.2/USER:
administrator
PATHwin32_terminalservicesettingWHERE(__Class!
="")CALLSetAllowTSConnections1
具体格式:
wmic/node:
"[fullmachinename]"/USER:
"[domain]\[username]"
PATHwin32_terminalservicesettingWHERE(__Class!
="")CALLSetAllowTSConnections1
wmic获取进程名称以及可执行路径:
wmicprocessgetname,executablepath
wmic删除指定进程(根据进程名称):
wmicprocesswherename="qq.exe"callterminate
或者用
wmicprocesswherename="qq.exe"delete
wmic删除指定进程(根据进程PID):
wmicprocesswherepid="123"delete
wmic创建新进程
wmicprocesscallcreate"C:
\ProgramFiles\Tencent\QQ\QQ.exe"
在远程机器上创建新进程:
wmic/node:
192.168.201.131/user:
administrator/password:
123456processcallcreatecmd.exe
关闭本地计算机
wmicprocesscallcreateshutdown.exe
重启远程计算机
wmic/node:
192.168.1.10/user:
administrator/password:
123456processcallcreate"shutdown.exe-r-f-m"
更改计算机名称
wmiccomputersystemwhere"caption='%ComputerName%'"callrenamenewcomputername
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WMIC 使用